Privacy Handbuch

Firefox enthält einen Trackingschutz ("Schutz gegen Aktivitätenverfolgung" genannt), den man am einfachsten in den Einstellungen in der Sektion "Datenschutz und Sicherheit" konfigurieren kann.

Es werden Blockierlisten von Disconnect genutzt, die von einem Mozilla-Server aktualisiert werden. Diese Blockliste ist nicht dafür ausgelegt, möglichst viel Werbung auf allen Webseiten zu blockieren. Sie blockiert Trackingdienste und als Nebeneffekt Werbebanner, die für Tracking genutzt werden.

Standardmäßig ist der Schutz gegen Aktivitätenverfolgung (Trackingschutz) nur im Privat Browsing Mode aktiv, der Schutz gegen Trackingcookies und Krypto-Miner ist immer aktiv.
Im strengen Modus ist der Schutz gegen Aktivitätenverfolgung immer aktiv.

Seit Firefox 120+ ist im strengen Modus auch eine Randomisierung des Javascript Fingerprint aktiv, die gegen Canvas Fingerprinting, Font- und Fontmetrics Fingerprinting usw. schützt.
Außerdem gibt es die benutzerdefinierte Konfiguration, in der man selbst enscheiden kann, welche Schutzmechanismen aktiviert oder deaktiviert werden sollen. Man kann den Schutz gegen Aktivitätenverfolgung hier komplett deaktivieren.

Ein kleiner, oberflächlicher Test

Für einen kleinen Test wurde die strenge Tracking Protection von Firefox 69.0 aktiviert und dann wurden ein paar Webseiten aufgerufen. Dabei wurde vor allem beobachtet, welche Third-Party Cookies jetzt als Trackingcookies erkannt und blockiert wurden.

Auf den Webseiten Heise.de und Zeit.de ist die Werbung verschwunden aber die Trackingcookies von WebTrekk werden nicht blockiert. Das ist evtl. nicht verwunderlich, da sich WebTrekk mit DNS-Aliases auf beiden Webseiten einen First-Party Status erschleicht und der in Firefox 69.0 implementierte Schutz gegen Trackingcookies nur Third-Party Cookies analysiert und in gute und böse Cookies einteilt.

Trackingscripte von Google und OpenX werden auf Heise.de und Zeit.de blockiert, aber man wird auf beiden Webseiten mit Third-Party Cookies von EASYmedia beobachtet, die nicht von der Tracking Protection blockiert werden. In der Datenschutzpolicy von EASYmedia findet man folgenden Satz zum Austausch von Daten mit Dritten:

EASYmedia ist mit einer großen Anzahl von Partnern wie z.B. Google, OpenX, SmartAds und vielen anderen verbunden. Um die Bereitstellung unseres Dienstes im Cookie-basierten Advertising Ökosystem zu ermöglichen, tauscht EASYmedia automatisiert pseudonyme IDs mit solchen Partnern aus...
- EASYmedia kann auch Informationen von Dritten erhalten, um gezielte und maßgeschneiderte Werbung auf Webseiten und mobilen Anwendungen zu ermöglichen.

(Es gibt Tracking-Familien, die die Daten untereinander austauschen und damit eine große Reichweite bei der Beobachtung des Surfverhaltens erreichen... und das Google-Imperium ist die größte Familie.)
Auf YouTube wird man trotz "strengem Trackingschutz" mit einem Cookie von DoubleClick markiert, das zur Auswahl von individuell optimierter Werbung verwendet wird, siehe "IDE" Cookie bei Googles Cookie-Arten.
Wir verwenden Cookies auch für Werbung, die wir an verschiedenen Stellen im Web zeigen. Unser wichtigstes Cookie für Anzeigenvorgaben für Websites, die nicht zu Google gehören, heißt "IDE". Es wird in Browsern unter der Domain doubleclick.net gespeichert. [...] Andere Google-Produkte wie YouTube nutzen dieses Cookie möglicherweise ebenfalls zur Auswahl relevanter Werbung.

(Also wenn das kein bekanntes Trackingcookie ist...)

Es ist nicht ungewöhnlich, dass der eingebaute Trackingschutz der Browser großzügige Ausnahmen für Geldgeber vorsieht. Was Google für Firefox ist, ist Microsoft für den DuckDuckGo Private Browser. Die Suchmaschine DuckDuckGo finanziert sich hauptsächlich durch Werbung von Microsoft und der DuckDuckGo Private Browser macht beim Trackingsschutz eine freundliche Ausnahme für Microsoft Tracking Cookies.
Auf Bild.de werden viele Trackingscripte blockiert, die Webseite ist offensichlich mit unterschiedlichsten Trackern überflutet. Allerdings ist der Schutz auch hier nicht umfassend. Es wurden keine Trackingcookies von der neuen Firefox Tracking Protection gefunden und blockiert, aber einige der akzeptierten Third-Party Cookies von WebTrekk, Dynamic Yield, TealiumIQ, Adserve.io usw. könnte man durchaus als Trackingcookies einsortieren.

Das sind nur Beispiele und es ist keine wiss. Analyse. Es zeigt aber, dass der Trackingschutz von Firefox oft nur oberflächlich arbeitet und andere Lösungen mit optimierten Filterlisten für deutsche Surfer wesentlich bessere Ergebnisse erreichen und mehr Features bieten.

Empfehlung: Abschalten

Der Trackingschutz von Firefox arbeitet nur oberflächlich. Die Installation eine AdBlockers wie uBlock Origin ist also weiterhin empfehlenswert und notwendig.

Wenn man den Schutz gegen Aktivitätenverfolgung aktiviert, dann werden nicht nur die Filterlisten aktiviert sondern auch Do-Not-Track (DNT). Mit jedem HTTP Request wird ein DNT Header an die Webserver gesendet, der den Wunsch des Nutzers anzeigen soll, nicht beschnüffelt zu werden.

Do-Not-Track ist politisch gescheitert, es wird von Trackingdiensten ignoriert. Die Aktivierung des DNT Headers schafft aber ein Differenzierungsmerkmal für das Browser Fingerprinting, wie auch die DNT Working Group des W3C in der Spezifikation anmerkt. Also abschalten: privacy.trackingprotection.enabled = false

Das gleiche gilt auch für den Private Browsing Mode. Im PBM wird der Schutz gegen Aktivitäten- verfolgung standardmäßg aktiviert und es wird damit ein DNT Header gesendet, womit das Fingerprinting des Browsers erleichtert wird.

Mit folgender Option deaktiviert man die Tracking Protection im Private Browsing Mode: privacy.trackingprotection.pbmode.enabled = false

Lizenz: Public Domain